SSH-Server mit fail2ban absicher

Unerwünschte Besucher fernhalten

Um den eigenen SSH-Server gegen unbefugte Zugriffe abzusichern, kann neben einer sicheren OpenSSH-Konfiguration das Werkzeug fail2ban weiterhelfen. Dieses durchsucht unter anderem die Logdateien "auth.log" und "secure", um anhand bestimmter Muster zu erkennen, ob nicht-autorisierte Zugriffsversuche stattfinden. Es unterbindet den Zugang bereits auf der Netzwerkschicht, indem es IP-Pakete von verdächtigen Systemen verwirft.
Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet ... (mehr)

IT-Systeme, die ungeschützt im Internet stehen, sind grundsätzlich immer einer Gefahr ausgesetzt. Auch wenn sie vielleicht keine allgemein öffentlichen Dienste anbieten und eventuell nicht einmal über einen DNS-Namen verfügen: die Rechner werden trotzdem gefunden. Tagtäglich laufen endlose Scans im globalen Netzwerk, die jeden Rechner identifizieren und nach Schwachstellen absuchen – angefangen bei einfachen Brute-Force-Attacken bis hin zu komplexeren Zugriffsversuchen, bei denen Angreifer Schwachstellen abklopfen in der Hoffnung, Schadcode auf einem System auszuführen. Die folgenden Beispiele zeigen, wie Sie den eigenen OpenSSH-Server gegen ungewollte Zugriffe absichern beziehungsweise die Hürden für Angreifer möglichst erhöhen.

Zusätzliche OpenSSH-Konfigurationsdateien einlesen

Die Konfiguration des OpenSSH-Servers erfolgt in der Datei "sshd_config", die zumeist im Verzeichnis "/etc/ssh/" liegt. Seit der OpenSSH-Version 8.2 besteht allerdings die Möglichkeit, zusätzliche Dateien zur Konfiguration zu verwenden [1]. Diese können Sie ganz einfach mit einer »Include« -Anweisung in der Datei "sshd_config" einlesen. Hier ein Beispiel:

Include /etc/ssh/sshd_config.d/*.conf

Hiermit werden nach einem Neustart des Servers sämtliche Dateien aus dem Verzeichnis "/etc/ssh/sshd_config.d/" beachtet, die auf ".conf" enden. Unterstützt Ihre OpenSSH-Server-Version dieses neue Feature noch nicht, speichern Sie die jeweiligen Konfigurationsanweisungen einfach wie gewohnt in der Datei "sshd_config".

Sichere Standardkonfigurationen

Es gibt eine Vielzahl von Grundeinstellungen, die jeder OpenSSH-Server verwenden sollte. Dazu zählt beispielsweise, dass ein Root-Login grundsätzlich nicht möglich ist und Anwender

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022